Universidad Mayor De San Andres Facultad Tecnica Carrera: Electrónica Y Telecomunicaciones

UNIVERSIDAD MAYOR DE SAN ANDRES FACULTAD TECNICA CARRERA: ELECTRÓNICA Y TELECOMUNICACIONES

NIVEL LICENCIATURA EXAMEN DE GRADO: TRABAJO DE APLICACIÓN

"SERVIDOR DE TUNELES PARA EL ESTABLECIMIENTO DE REDES PRIVADAS VIRTUALES PUNTO A PUNTO MEDIANTE ZEROSHELL PARA LA EMPRESA DIACONIA FRIF"

POSTULANTE: René Carlos Condori Gironda

La Paz- Bolivia

AGOSTO – 2012

DEDICATORIA A DIOS, quien me dio la fé, salud, paciencia y fortaleza en cada momento de mi vida. A mi familia, les agradezco por brindarme el apoyo que necesite para la elaboración de este trabajo, mis padres Benedicto y Victoriana que siempre me aconsejan, orientan y me dan fuerzas para seguir adelante.

Gracias.

ÍNDICE

TÍTULO Página

DEDICATORIA ...... I

ÍNDICE ...... II

RESUMEN ...... V

CAPITULO I

1. INTRODUCCIÓN ...... 1 2. PLANTEAMIENTO DEL PROBLEMA ...... 2 3. JUSTIFICACIÓN ...... 3 4. OBJETIVOS ...... 4 4.1. OBJETIVO GENERAL ...... 4 4.2. OBJETIVOS ESPECÍFICOS ...... 4

CAPITULO II

5. FUNDAMENTACIÓN TEÓRICA ...... 5 5.1. COMUNICACIÓN A TRAVÉS DE LA RED ...... 5 5.1.1. ARQUITECTURA DE UNA RED ...... 5 5.1.2. MODELOS DE PROTOCOLO Y REFERENCIA ...... 6 5.1.3. MODELO TCP/IP ...... 7 5.1.4. MODELO OSI ...... 7 5.1.5. CAPA DE RED ...... 8 5.1.6. DIRECCIONAMIENTO IPV4 ...... 9 5.1.7. PROVEEDOR DE SERVICIOS DE INTERNET ...... 11 5.1.8. CAPA DE TRANSPORTE ...... 12 5.1.9. DIRECCIONAMIENTO DEL PUERTO ...... 14 5.2. CLASIFICACIONES DE LA REDES ...... 15

5.2.1. REDES DE ÁREA LOCAL (LAN) ...... 16 5.2.2. REDES DE ÁREA EXTENSA (WAN)...... 17 5.2.3. MODELO CLIENTE - SERVIDOR ...... 17 5.3. IMPORTANCIA DE LA SEGURIDAD ...... 18 5.4. ¿QUÉ ES UN VPN? ...... 19 5.4.1. LÍNEAS DE COMUNICACIÓN ...... 20 5.4.2. TIPOS DE CONEXIÓN EN VPN ...... 21 5.4.2.1. CONEXIÓN DE UN CLIENTE: “GUERRERO DEL CAMINO” ...... 21 5.4.2.2. CONEXIÓN DE UN CLIENTE A RED DE ÁREA LOCAL ...... 21 5.4.2.3. CONEXIÓN ENTRE DOS O MÁS REDES DE ÁREA LOCAL ...... 22 5.4.3. PROTOCOLOS DE COMUNICACIÓN ...... 23 5.4.4. SISTEMAS PARA MONTAR VPN’S ...... 24 5.5. FUNDAMENTOS DE CRIPTOGRAFÍA...... 24 5.5.1. SISTEMAS DE CRIPTOGRAFÍA MESSAGE DISGEST ...... 25 5.5.2. CLAVES PRIVADAS ASIMÉTRICAS...... 27 5.5.3. CLAVES PÚBLICAS ASIMÉTRICAS ...... 28 5.5.4. FIRMAS DIGITALES ...... 29

CAPITULO III

6. MARCO PRÁCTICO ...... 30 6.1. SITUACIÓN ACTUAL DE LA RED DE DIACONIA FRIF ...... 30 6.2. IMPLEMENTACIÓN DE UN SERVIDOR PARA VPN’S ...... 31 6.2.1. DESCRIPCIÓN DE ZEROSHELL ...... 31 6.3. INSTALACIÓN DE ZEROSHELL ...... 32 6.4. CONFIGURACIÓN DE INTERFAZ DE RED ...... 33 6.4.1. CONFIGURACIÓN DE NAT ...... 35 6.5. CERTIFICACIÓN PARA LA CONEXIONES REMOTAS ...... 36 6.5.1. CREACIÓN DE USUARIOS ...... 36 6.5.2. ACCESO REMOTO VPN CLIENTE L2TP/IPSEC...... 37 6.5.3. ACCESO REMOTO VPN CLIENTE OPENVPN ...... 39

III

6.5.4. CONFIGURACIÓN VPN PUNTO A PUNTO ...... 40 6.6. DESARROLLO DE LA CONFIGURACIÓN DE LA RED VPN ...... 42 6.6.1. DISEÑO DE LA RED LÓGICA DE DIACONIA-FRIF ...... 43 6.7. CONEXIÓN A INTERNET MEDIANTE MODEM USB ...... 45 6.7.1. INTERNET MÓVIL DE ENTEL ...... 45 6.7.2. INTERNET MÓVIL DE TIGO ...... 45 6.7.3. INTERNET MÓVIL DE VIVA ...... 46 6.7.3. ELECCIÓN DEL SERVICIO DE INTERNET ...... 46

CAPITULO IV

7. CONCLUSIONES ...... 47 8. BIBLIOGRAFÍA ...... 48 ANEXOS ...... 49

RESUMEN DEL TRABAJO. Internet es una red IP de acceso público en todo el mundo. Debido a su amplia proliferación global, se ha convertido en una manera atractiva de interconectar sitios remotos. Sin embargo, el hecho de que sea una infraestructura pública conlleva riesgos de seguridad para las empresas y sus redes internas. Afortunadamente, la tecnología VPN permite que las organizaciones creen redes privadas en la infraestructura de Internet pública que mantienen la confidencialidad y la seguridad.

Las organizaciones usan las redes VPN para proporcionar una infraestructura WAN virtual que conecta sucursales, oficinas domésticas, oficinas de socios comerciales y trabajadores a distancia a toda la red corporativa o a parte de ella. Para que permanezca privado, el tráfico está encriptado. En vez de usar una conexión de Capa 2 exclusiva, como una línea alquilada, la VPN usa conexiones virtuales que se enrutan a través de Internet.

El presente proyecto es un Servidor de túneles para el establecimiento de Redes Privadas Virtuales punto a punto mediante Zeroshell para la empresa DIACONIA FRIF ya que objetivo principal es la interconexión entre la oficina Central y sus Sucursales, también se hace el estudio de los tipos de VPN’s y sus componentes que brindan protección y seguridad a una red informática. Con esta aplicación se ahorrará tanto en costos como en infraestructura al establecer redes virtuales entre equipos muy distantes entre sí, manteniendo la seguridad que es necesaria en estos casos, para dicho se brinda una rápida implementación y fácil administración con el sistema Zeroshell que es una distribución gratuita de Debian.

En el marco práctico de este proyecto se desarrolla la instalación y configuración de Zeroshell como servidor de VPN’s para el establecimiento de conexión punto a punto, implementado métodos de autenticación y certificación. En la parte del cliente se usa una aplicación también gratuita OpenVPN que será finalmente la encargada de realizar la conexión.

SERVIDOR DE TUNELES PARA EL ESTABLECIMIENTO DE REDES PRIVADAS VIRTUALES PUNTO A PUNTO MEDIANTE ZEROSHELL PARA LA EMPRESA DIACONIA FRIF

CAPITULO I

1. INTRODUCCIÓN Las redes privadas virtuales o VPN, como son popularmente conocidas, se definen, en esencia, como una extensión de una red local y privada que utiliza como medio de enlace una red pública como por ejemplo Internet.

Este método permite enlazar dos o más redes simulando una única red privada, permitiendo así la comunicación entre computadores como si estuviesen en la misma red física. Asimismo, un usuario remoto se puede conectar individualmente a una LAN utilizando una conexión VPN, donde, en forma segura, puede utilizar aplicaciones no accesibles desde Internet para enviar datos, o actualizar información confidencial que necesita protegerse y enviarse por canales cifrados.

La entidad financiera DIACONIA FRIF, con sede central ubicada en la ciudad de EL ALTO brinda servicios de otorgación de créditos individuales y de bancas comunales también realiza giros de dinero con sus agencias en las provincias del departamento de LA PAZ, debido a esta situación los datos que se manejan son totalmente confidenciales y es por eso que cuando hay un flujo de información entre la oficina Central y sucursales que atraviesa Internet se tiene que garantizar la integridad de dichos datos.

Con el servidor Zeroshell es posible implementar las VPN’s , para brindar mayor seguridad en el acceso a la información mediante la creación de túneles virtuales que encapsulan y encriptan los datos.

2. PLANTEAMIENTO DEL PROBLEMA

En la actualidad existe un gran número de intervenciones no autorizadas cuando la comunicación es a través de Internet, es por eso que se tiene que tomarse medidas de seguridad. Esto implica realizar un conjunto de pautas establecidas para proteger a la red de los ataques, ya sean desde el interior o desde el exterior de una empresa. También existen diversos factores que hacen necesaria la implementación de soluciones más sofisticadas de conectividad entre las oficinas de las organizaciones distribuidas en distintos lugares.

Se ha demostrado que las redes reducen en tiempo y dinero los gastos de las empresas, eso ha significado una gran ventaja para las organizaciones sobre todo las que cuentas con oficinas remotas a varios kilómetros de distancia, pero también es cierto que estas redes remotas han despertado la curiosidad de algunas personas que se dedican a atacar los servidores y las redes para obtener información confidencial. Por tal motivo la seguridad de las redes es de suma importancia, es por eso que escuchamos hablar tanto de los famosos firewalls y las VPN.

DIACONIA FRIF es una institución financiera que maneja información confidencial. Dicha información se genera entre todas las oficinas de la institución dispersadas en distintas áreas geográficas, esta información no puede ser capturada por ningún agente externo cuando la transferencia de datos a traviesa la nube de Internet, por estas razones presentamos este proyecto, para que la comunicaciones entre la Oficina Central y Agencias del Área Rural y del Interior del país sean por un medio de la creación de túneles virtuales que encapsulan y encriptan los datos.

Es importante mencionar que la selección e implementación de una VPN depende completamente de las necesidades de la organización.

Zeroshell es un software libre que actuara como un servidor de VPN’s que dará una solución de seguridad para mantener la confidencialidad de su información financiera a la empresa DIACONIA FRIF, la cual en la actualidad no cuenta con una herramienta de estas características.

3. JUSTIFICACIÓN

El presente proyecto plantea una solución a bajo costo, implementación rápida y de fácil administración con un software libre llamado “Zeroshell” que trabajara como un servidor de VPN’s y en el extremo del cliente se utiliza otra aplicación libre como es “OpenVPN” la cual brinda la conexión remota hacia el servidor y por tanto crea el túnel que conecta el sitio remoto (Agencia) con la Oficina Central a través de Internet.

El sistema Zeroshell es una distribución libre Debian para servidores y dispositivos embebidos, que provee de servicios de red. Es un software gratuito que tiene las características de los de los equipos complejos de seguridad, puede instalarse y configurarse como servidor o cliente para la creación de las redes privadas virtuales, en una PC con pocos requerimientos de hardware.

Zeroshell es una poderosa herramienta que está diseñada para ser implementada tanto en pequeñas, medianas y hasta grandes empresas.

Sus principales características son: Host to Lan VPN. VPN cliente Lan to Lan VPN. VPN entre servidores Traducción de direcciones (NAT) Autenticación Kerberos 5 Entidad certificadora X509

En la parte del cliente se usa una aplicación también gratuita OpenVPN que será finalmente la encargada de realizar la conexión. OpenVPN es un VPN SSL/TLS, uno de los tipos de vpn más rápidos.

OpenVPN permite la utilización de udp o tcp como protocolos de la capa de transporte para el tráfico de la red privada virtual, dependiendo de las características de nuestra red debemos seleccionar el más apropiado.

Es posible permitir o no permitir que los clientes puedan comunicarse entre si a través de la VPN, así que tendremos que elegir una de estas opciones

Algo muy importante es la autentificación de los puntos puede realizarse mediante claves pre-compartidas, certificados o nombres de usuario - contraseñas. Esto hace que este tipo de configuración sea uno de los más seguros y rentables.

4. OBJETIVOS

4.1. OBJETIVO GENERAL

Instalar y configurar una PC con el sistema Zeroshell como servidor de túneles VPN’s y configurar el cliente VPN con el software OpenVPN para el acceso remoto mediante Internet y así proteger las redes internas y la información que se genera entre Agencias de la institución DIACONIA FRIF.

4.2. OBJETIVOS ESPECIFICOS

Establecer conexiones seguras mediante VPN’s para la interconexión de redes internas (Agencias) de la institución. Generar claves pre-compartidas, certificados o nombres de usuario y contraseñas para la interconexión segura. Configurar una LAN Interna en el lado del cliente y así establecer la conexión LAN TO LAN.

CAPITULO II

5. FUNDAMENTO TEÓRICO

5.1. COMUNICACIÓN A TRAVÉS DE REDES

Poder comunicarse en forma confiable con todos en todas partes es de vital importancia para nuestra vida personal y comercial. Para respaldar el envío inmediato de los millones de mensajes que se intercambian entre las personas de todo el mundo, confiamos en una Web de redes interconectadas. Estas redes de información o datos varían en tamaño y capacidad, pero todas las redes tienen cuatro elementos básicos en común: Reglas y acuerdos para regular cómo se envían, redireccionan, reciben e interpretan los mensajes. Los mensajes o unidades de información que viajan de un dispositivo a otro, Una forma de interconectar esos dispositivos, un medio que puede transportar los mensajes de un dispositivo a otro.

La estandarización de los distintos elementos de la red permite el funcionamiento conjunto de equipos y dispositivos creados por diferentes compañías. Los expertos en diversas tecnologías pueden contribuir con las mejores ideas para desarrollar una red eficiente sin tener en cuenta la marca o el fabricante del equipo.

5.1.1. ARQUITECTURA DE UNA RED

Las redes deben admitir una amplia variedad de aplicaciones y servicios, como así también funcionar con diferentes tipos de infraestructuras físicas. El término arquitectura de red, en este contexto, se refiere a las tecnologías que admiten la infraestructura y a los servicios y protocolos programados que pueden trasladar los mensajes en toda esa infraestructura. Debido a que Internet evoluciona, al

5 igual que las redes en general, descubrimos que existen cuatro características básicas que la arquitectura subyacente necesita para cumplir con las expectativas de los usuarios: tolerancia a fallas, escalabilidad, calidad del servicio y seguridad.

5.1.2. MODELOS DE PROTOCOLO Y REFERECIA

Existen dos tipos básicos de modelos de networking: modelos de protocolo y modelos de referencia. Un modelo de protocolo proporciona un modelo que coincide fielmente con la estructura de una suite de protocolo en particular. El conjunto jerárquico de protocolos relacionados en una suite representa típicamente toda la funcionalidad requerida para interconectar la red humana con la red de datos. El modelo TCP/IP es un modelo de protocolo porque describe las funciones que se producen en cada capa de los protocolos dentro del conjunto TCP/IP. Un modelo de referencia proporciona una referencia común para mantener consistencia en todos los tipos de protocolos y servicios de red. Un modelo de referencia no está pensado para ser una especificación de implementación ni para proporcionar un nivel de detalle suficiente para definir de forma precisa los servicios de la arquitectura de red. El propósito principal de un modelo de referencia es asistir en la comprensión más clara de las funciones y los procesos involucrados.

Figura 1 Modelo de protocolos y modelo de referencia Fuente: http://cisco.netacad.net

5.1.3. MODELO TCP/IP

El modelo TCP/IP describe la funcionalidad de los protocolos que forman la suite de protocolos TCP/IP. Esos protocolos, que se implementan tanto en el host emisor como en el receptor, interactúan para proporcionar la entrega de aplicaciones de extremo a extremo a través de una red. Un proceso completo de comunicación incluye estos pasos: Creación de datos a nivel de la capa de aplicación del dispositivo final origen.2. Segmentación y encapsulación de datos cuando pasan por la stack de protocolos en el dispositivo final de origen. Generación de los datos sobre el medio en la capa de acceso a la red de la stack. Transporte de los datos a través de la internetwork, que consiste de los medios y de cualquier dispositivo intermediario. Recepción de los datos en la capa de acceso a la red del dispositivo final de destino. Desencapsulación y rearmado de los datos cuando pasan por la stack en el dispositivo final. Traspaso de estos datos a la aplicación de destino en la capa de aplicación del dispositivo final de destino.

5.1.4. MODELO OSI

Como modelo de referencia, el modelo OSI proporciona una amplia lista de funciones y servicios que pueden producirse en cada capa. También describe la interacción de cada capa con las capas directamente por encima y por debajo de él. Aunque el contenido de este curso se estructurará en torno al modelo OSI, el eje del análisis serán los protocolos identificados en el stack de protocolos TCP/IP.

5.1.5. CAPA DE RED

En la capa de red, TCP/IP ofrecemos el protocolo entre redes (IP). IP a su vez contiene cuatro protocolos: ARP, RARP, ICMP e IGMP.

PROTOCOLO IPv4 El Protocolo de Internet fue diseñado como un protocolo con bajo costo. Provee sólo las funciones necesarias para enviar un paquete desde un origen a un destino a través de un sistema interconectado de redes. El protocolo no fue diseñado para rastrear ni administrar el flujo de paquetes. Estas funciones son realizadas por otros protocolos en otras capas. Características básicas de IPv4: Sin conexión: No establece conexión antes de enviar los paquetes de datos. Máximo esfuerzo (no confiable): No se usan encabezados para garantizar la entrega de paquetes. Medios independientes: Operan independientemente del medio que lleva los datos.

ENCABEZADO DEL PAQUETE IPv4 Como se muestra en la figura, un protocolo IPv4 define muchos campos diferentes en el encabezado del paquete. Estos campos contienen valores binarios que los servicios IPv4 toman como referencia a medida que envían paquetes a través de la red. Los campos más importantes son: Dirección IP origen. Dirección IP destino. Tiempo de existencia (TTL). Versión Protocolo

Figura 2 Encabezado de IPv4 Fuente: “Redes de Computadoras”, Tanenbaum

5.1.6. DIRECCIONAMIENTO IPv4

Cada dispositivo de una red debe ser definido en forma exclusiva. En la capa de red es necesario identificar los paquetes de la transmisión con las direcciones de origen y de destino de los dos sistemas finales. Con IPv4, esto significa que cada paquete posee una dirección de origen de 32 bits y una dirección de destino de 32 bits en el encabezado de Capa 3.

Estas direcciones se usan en la red de datos como patrones binarios. Dentro de los dispositivos, la lógica digital es aplicada para su interpretación. Para quienes formamos parte de la red humana, una serie de 32 bits es difícil de interpretar e incluso más difícil de recordar. Por lo tanto, representamos direcciones IPv4 utilizando el formato decimal punteada. Ejemplo: 172.16.4.20

DIRECCIONES PÚBLICAS Y PRIVADAS Aunque la mayoría de las direcciones IPv4 de host son direcciones públicas designadas para uso en redes a las que se accede desde Internet, existen bloques de direcciones que se utilizan en redes que requieren o no acceso limitado a Internet. A estas direcciones se las denomina direcciones privadas.

DIRECCIONES PRIVADAS Los bloques de direcciones privadas son: 10.0.0.0 a 10.255.255.255 (10.0.0.0 /8) 172.16.0.0 a 172.31.255.255 (172.16.0.0 /12) 192.168.0.0 a 192.168.255.255 (192.168.0.0 /16)

Los bloques de direcciones de espacio privadas, como se muestra en la figura, se separa para utilizar en redes privadas. No necesariamente el uso de estas direcciones debe ser exclusivo entre redes externas. Por lo general, los hosts que no requieren acceso a Internet pueden utilizar las direcciones privadas sin restricciones. Sin embargo, las redes internas aún deben diseñar esquemas de direcciones de red para garantizar que los hosts de las redes privadas utilicen direcciones IP que sean únicas dentro de su entorno de networking.

Muchos hosts en diferentes redes pueden utilizar las mismas direcciones de espacio privado. Los paquetes que utilizan estas direcciones como la dirección de origen o de destino no deberían aparecer en la Internet pública. El router o el dispositivo de firewall del perímetro de estas redes privadas deben bloquear o convertir estas direcciones. Incluso si estos paquetes fueran a hacerse camino hacia Internet, los routers no tendrían rutas para enviarlos a la red privada correcta.

TRADUCCIÓN DE DIRECCIONES DE RED (NAT) Con servicios para traducir las direcciones privadas a direcciones públicas, los hosts en una red direccionada en forma privada pueden tener acceso a recursos a través de Internet. Estos servicios, llamados Traducción de dirección de red (NAT), pueden ser implementados en un dispositivo en un extremo de la red privada. NAT permite a los hosts de la red "pedir prestada" una dirección pública para comunicarse con redes externas. A pesar de que existen algunas limitaciones y problemas de rendimiento con NAT, los clientes de la mayoría de las aplicaciones pueden acceder a los servicios de Internet sin problemas evidentes.

DIRECCIONES PÚBLICAS La amplia mayoría de las direcciones en el rango de host unicast IPv4 son direcciones públicas. Estas direcciones están diseñadas para ser utilizadas en los hosts de acceso público desde Internet. Aun dentro de estos bloques de direcciones, existen muchas direcciones designadas para otros fines específicos.

Figura 3 Direcciones privadas utilizadas en redes sin NAT Fuente: http://cisco.netacad.net

5.1.7. PROVEEDORES DE SERVICIOS DE INTERNET (ISP)

EL PAPEL DE ISP La mayoría de las compañías u organizaciones obtiene sus bloques de direcciones IPv4 de un ISP. Un ISP generalmente suministrará una pequeña cantidad de direcciones IPv4 utilizables (6 ó 14) a sus clientes como parte de los servicios. Se pueden obtener bloques mayores de direcciones de acuerdo con la justificación de las necesidades y con un costo adicional por el servicio. En cierto sentido, el ISP presta o alquila estas direcciones a la organización. Si se elige cambiar la conectividad de Internet a otro ISP, el nuevo ISP suministrará direcciones de los bloques de direcciones que ellos poseen, y el ISP anterior devuelve los bloques prestados a su asignación para prestarlos nuevamente a otro cliente.

SERVICIOS ISP Para tener acceso a los servicios de Internet, tenemos que conectar nuestra red de datos a Internet usando un Proveedor de Servicios de Internet (ISP). Los ISP poseen sus propios conjuntos de redes internas de datos para administrar la conectividad a Internet y ofrecer servicios relacionados. Entre los servicios que un ISP generalmente ofrece a sus clientes se encuentran los servicios DNS, servicios de correo electrónico y un sitio Web. Dependiendo del nivel de servicio requerido y disponible, los clientes usan diferentes niveles de un ISP.

Figura 4 Los 3 niveles de ISP Fuente: http://cisco.netacad.net

5.1.8. CAPA DE TRANSPORTE

Las redes de datos e Internet brindan soporte a la red humana al proporcionar la comunicación continua y confiable entre las personas, tanto de manera local como alrededor del mundo. En un único dispositivo, las personas pueden utilizar varios servicios como e-mails, la Web y la mensajería instantánea para enviar mensajes o recuperar información. Las aplicaciones como clientes de correo electrnico, exploradores Web y clientes de mensajería instantánea permiten que las personas utilicen las computadoras y las redes para enviar mensajes y buscar información.

Los datos de cada una de estas aplicaciones se empaquetan, transportan y entregan al daemon de servidor o aplicación adecuados en el dispositivo de destino. Los procesos descritos en la capa de Transporte del modelo OSI aceptan los datos de la capa de Aplicación y los preparan para el direccionamiento en la

12 capa de Red. La capa de Transporte es responsable de la transferencia de extremo a extremo general de los datos de aplicación. La capa de Transporte permite la segmentación de datos y brinda el control necesario para reensamblar las partes dentro de los distintos streams de comunicación. Las responsabilidades principales que debe cumplir son: Seguimiento de la comunicación individual entre aplicaciones en los hosts origen y destino. Segmentación de datos y gestión de cada porción. Reensamble de segmentos en flujos de datos de aplicación. Identificación de las diferentes aplicaciones.

Figura 5 Capa de Transporte Fuente: http://cisco.netacad.net

TCP y UDP Los dos protocolos más comunes de la capa de Transporte del conjunto de protocolos TCP/IP son el Protocolo de control de transmisión (TCP) y el Protocolos de datagramas de usuario (UDP). Ambos protocolos gestionan la comunicación de múltiples aplicaciones. Las diferencias entre ellos son las funciones específicas que cada uno implementa.

PROTOCOLO DE DATAGRAMAS DE USUARIO (UDP) UDP es un protocolo simple, sin conexión, descrito en la RFC 768. Cuenta con la ventaja de proveer la entrega de datos sin utilizar muchos recursos. Las porciones de comunicación en UDP se llaman datagramas. Este protocolo de la capa de Transporte envía estos datagramas como "mejor intento". Entre las aplicaciones que utilizan UDP se incluyen:

Sistema de nombres de dominios (DNS). Streaming de vídeo y Voz sobre IP (VoIP).

PROTOCOLO DE CONTROL DE TRANSMISIÓN (TCP) TCP es un protocolo orientado a la conexión, descrito en la RFC 793. TCP incurre en el uso adicional de recursos para agregar funciones. Las funciones adicionales especificadas por TCP están en el mismo orden de entrega, son de entrega confiable y de control de flujo. Cada segmento de TCP posee 20 bytes de carga en el encabezado, que encapsulan los datos de la capa de Aplicación, mientras que cada segmento UDP sólo posee 8 bytes de carga. Ver la figura para obtener una comparación.

Figura 6 Encabezado de TCP y UDP Fuente: “Redes de Computadoras”, Tanenbaum

5.1.9. DIRECCIONAMIENTO DEL PUERTO

La Autoridad de números asignados de Internet (IANA) asigna números de puerto. IANA es un organismo de estándares responsable de la asignación de varias normas de direccionamiento. Existen distintos tipos de números de puerto: Puertos bien conocidos (Números del 0 al 1 023). Estos números se reservan para servicios y aplicaciones. Por lo general, se utilizan para aplicaciones como 14

HTTP (servidor Web), POP3/SMTP (servidor de e-mail) y Telnet. Al definir estos puertos conocidos para las aplicaciones del servidor, las aplicaciones del cliente pueden ser programadas para solicitar una conexión a un puerto específico y su servicio asociado.

Puertos Registrados (Números 1024 al 49151). Estos números de puertos están asignados a procesos o aplicaciones del usuario. Estos procesos son principalmente aplicaciones individuales que el usuario elige instalar en lugar de aplicaciones comunes que recibiría un puerto bien conocido. Cuando no se utilizan para un recurso del servidor, estos puertos también pueden utilizarse si un usuario los selecciona de manera dinámica como puerto de origen.

Puertos dinámicos o privados (Números del 49 152 al 65 535). También conocidos como puertos efímeros, suelen asignarse de manera dinámica a aplicaciones de cliente cuando se inicia una conexión. No es muy común que un cliente se conecte a un servicio utilizando un puerto dinámico o privado (aunque algunos programas que comparten archivos punto a punto lo hacen).

Figura 7 Números de puertos Fuente: http://cisco.netacad.net

5.2. CLASIFICACIÓN DE LAS REDES Se clasifican por: Por su tecnología de transmisión (difusión) Por su tamaño. Por método de conexión.

Por relación funcional. Por topología de red. Por el tipo de transmisión.

5.2.1. Redes de área local (LAN)

Como su nombre lo indica, constituye una forma de interconectar una serie de equipos informáticos y represento uno de los sucesos más críticos para la conexión de equipos de cómputo entre sí. Una LAN no es más que un medio compartido junto con una serie de reglas que rigen el acceso a dicho medio, las LAN modernas también proporcionan al usuario multitud de funciones avanzadas como por ejemplo, controlar la configuración de equipos dentro de este medio, mediante gestiones de software, administración de usuarios y recursos de la red. Todas las LAN comparten la característica de poseer un alcance ilimitado (normalmente abarcan un edificio) y de tener una velocidad suficiente para que la red de conexión resulte invisible para los equipos que la utilizan. Una de las LAN más difundida es la Ethernet.

Tabla 1. Tecnologías Ethernet

Figura 8 Red de Área Local (LAN) Fuente: “Transmisión de datos y redes de comunicaciones”, Forouzan.

5.2.2. Redes de área extensa (WAN)

Una red de área amplia o WAN (Wide Area Network, del inglés), se extiende sobre un área geográfica extensa, a veces un país o un continente, y su función fundamental está orientada a la interconexión de redes o equipos terminales que se encuentran ubicados a grandes distancias entre sí. Para ello cuentan con una infraestructura basada en poderosos nodos de conmutación que llevan a cabo la interconexión de dichos elementos, por los que además fluyen un volumen apreciable de información de manera continúa. Por esta razón también se dice que las redes WAN tienen carácter público, pues el tráfico de información que por ellas circula proviene de diferentes lugares, siendo usada por numerosos usuarios de diferentes países del mundo para transmitir información de un lugar a otro.

Figura 9 Red WAN Fuente: http://cisco.netacad.net

5.2.3. MODELO CLIENTE – SERVIDOR En el modelo cliente-servidor, el dispositivo que solicita información se denomina cliente y el dispositivo que responde a la solicitud se denomina servidor. Los

17 procesos de cliente y servidor se consideran una parte de la capa de Aplicación. El cliente comienza el intercambio solicitando los datos al servidor, que responde enviando uno o más streams de datos al cliente. Los protocolos de capa de Aplicación describen el formato de las solicitudes y respuestas entre clientes y servidores. Además de la transferencia real de datos, este intercambio puede requerir de información adicional, como la autenticación del usuario y la identificación de un archivo de datos a transferir. Un ejemplo de una red cliente/servidor es un entorno corporativo donde los empleados utilizan un servidor de e-mail de la empresa para enviar, recibir y almacenar e-mails. El cliente de correo electrnico en la computadora de un empleado emite una solicitud al servidor de e-mail para un mensaje no leído. El servidor responde enviando el e-mail solicitado al cliente. Aunque los datos generalmente se describen como un flujo del servidor al cliente, algunos datos siempre fluyen del cliente al servidor. El flujo de datos puede ser el mismo en ambas direcciones o inclusive ser mayor en la dirección que va del cliente al servidor. Por ejemplo, un cliente puede transferir un archivo al servidor con fines de almacenamiento. La transferencia de datos de un cliente a un servidor se conoce como subida y la de los datos de un servidor a un cliente, descarga.

Figura 10 Modelo cliente - servidor Fuente: http://cisco.netacad.net

5.3. IMPORTANCIA DE LA SEGURIDAD INFORMÁTICA Los riesgos, en términos de seguridad, se caracterizan por lo general mediante la siguiente ecuación.

Una definición muy útil para conocer lo que implica el concepto de seguridad informática es, garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos. En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.

En este sentido, es la información el elemento principal a proteger, resguardar y recuperar dentro de las redes empresariales. Es por esto que la información se puede reconocer como:

Crítica, indispensable para garantizar la continuidad operativa de la organización. Valiosa, es un activo corporativo que tiene valor en sí mismo. Sensitiva, debe ser conocida por las personas que necesitan los datos.

5.4. ¿Qué es una VPN?

VPN responde a las siglas Virtual private network. Consiste en crear una red “local” virtual formada por ordenadores remotos. Habitualmente usa un medio público inseguro como Internet para interconectarse. Con la masificación del acceso a Internet y la baja de costos en conectividad se desarrollaron nuevas tecnologías. Surgió así la idea de utilizar la Internet como medio de comunicación entre los diferentes sitios de la organización. Con lo que nace la idea de las VPN que son “Virtuales” y “Privadas”, virtuales debido a que no son redes de conexión directa real entre las partes, sino sólo conexiones virtuales

19 provistas mediante software a través de Internet y, son privadas porque únicamente la persona debidamente autorizada podrá leer los datos transferidos

Figura 11 Red Privada Virtual Fuente: http://cisco.netacad.net

5.4.1. LÍNEAS DE COMUNICACIÓN

A la hora de interconectar dos oficinas remotas de forma segura existen diferentes soluciones: Línea privada. Usar una línea privada, ya sea privada conmutada (RTC) de télefono convencional o una línea dedicada de mayor costo. Para ambos tendría que usar modems para enviar la señal. Línea pública. Usamos internet para interconectar las sedes. Debido a que internet es un medio compartido, debemos usar algún mecanismo de cifrado que garantice la confidencialidad. A esto se le denomina crear un tunel (tunneling) entre las dos sedes. Red VPN de operador telecomunicaciones. Esta modalidad se viene ofreciendo desde hace pocos años. Las compañías de telecomunicaciones ofrecen un servicio de encoriación de datos. Además los paquetes atraviesan redes no públicas, con lo que un acceso es más difícil. Es necesario que ambas sucursales posean el mismo operador de telecomunicaciones.

5.4.2. TIPOS DE CONEXIONES EN VPN’S

Existen varios tipos de conexiones VPN, esto será definido según los requerimientos de la organización, por eso es aconsejable hacer un buen levantamiento de información a fin de obtener algunos datos, como por ejemplo, si lo que se desea enlazar son dos o más redes, o si sólo se conectarán usuarios remotos. Las posibilidades se explican a continuación.

5.4.2.1. CONEXIÓN DE CLIENTE TIPO: “GUERRERO DEL CAMINO” AL SERVIDOR VPN Un usuario remoto que únicamente necesita acceso a servicios o aplicaciones que corren en el servidor VPN por espacios de tiempo pequeños o bien definidos. Caso típico para los administradores de seguridad, de lo que se deriva el apodo de: “guerreros del camino”

Figura 12 Conexión de un cliente tipo “guerrero del camino” Fuente: http://www.openvpn.com

5.4.2.2. CONEXIÓN DE CLIENTE A RED DE ÁREA LOCAL

Un usuario remoto que utilizará servicios o aplicaciones que se encuentran en uno o más equipos dentro de la red interna provista a través de la VPN. Caso típico para conexiones remotas semi-persistentes, como por ejemplo: los teletrabajadores o un centro de atención telefónica con varias sedes regionales donde los enlaces se mantienen solo para comunicarse por tiempos finitos.

Figura 13 Conexión de un cliente de red de área local Fuente: http://www.openvpn.com

5.4.2.3. CONEXIÓN ENTRE DOS O MÁS REDES DE ÁREA LOCAL

Este tipo de VPN es aquella donde la conexión es permanente y supone la interconexión constante de las diferentes redes de área local de la organización en una red cohesionada que puede ser heterogénea (es decir, conformada por redes de área local de tamaños diferentes) u homogénea (formada por redes de tamaños similares), así, permitiendo que ubicaciones remotas de la organización tengan acceso a los recursos de información entre sí, o bien, para centralizar el acceso de toda la organización a recursos discretos. Este esquema supone la presencia de un servidor VPN único a donde todos los clientes (en este caso, los enlaces VPN de cada ubicación de la organización) tienen acceso.

Figura 14 Conexión entre redes de área local por VPN Fuente: http://www.openvpn.com

5.4.3. PROTOCOLOS DE COMUNICACIÓN

Las soluciones de VPN pueden ser implementadas a diferentes niveles del modelo OSI para redes. Entre ellas tenemos:  SSL/TLS. Soluciones basadas en certificados digitales como Openvpn.

 PPTP. El PPTP es un protocolo de túnel VPN definido por el foro PPTP y en ellos paquetes PPP se encapsulan en los paquetes IP. Todas las versiones de Windows incluyen el sofware necesario para acceder a una VPN basada PPTP.

Figura 15 Cabecera PPTP Fuente: http://www.openvpn.com

 L2TO. Es una extensión del protocolo PPTP utilizado generalmente por proveedores de servicios de Internet (ISP) para creación de túneles seguros en su red IP (por ejemplo entre usuarios).

Figura 16 Cabecera L2TO Fuente: http://www.openvpn.com

 IPSec. El IPSec es una extensión del protocolo IP ideado y administrado por la IETF (Internet Engineering Task Force) y que aporta seguridad al actual estandard universal IP (tanto v4 como v6). IPSec puede proteger

cualquier protocolo que se ejecute sobre IP, por ejemplo TCO, UDP e ICMP. IPSec proporciona servicios criptográficos para autentificación, seguridad, control de acceso y de confidencialidad.

Figura 17 Cabecera IPSec Fuente: http://www.openvpn.com

5.4.4. SISTEMAS PARA MONTAR VPN’S

Existen diferentes productos para poder realizar vpns utilizando líneas públicas  Soluciones hardware. Existen diferentes equipos hardware para realizar vpns. Como por ejemplo Cisco, Zyzxel etc. las opciones hardware sulen gozar de más rendimiento que las opciones software.  Soluciones Software. OpenVpn básada en certificados digitales, se presenta como una opción muy adecuada. Es instalable bajo windows, Linux y Freebsd. Otros sitemas firewall presentan opciones de Vpn entre sus características como es Zeroshell,IPcop bajo Linux o Isa server bajo windows.

5.5. FUNDAMENTOS DE CRIPTOGRAFÍA

Por supuesto existen numerosos métodos criptográficos y gran abundancia de soluciones. Nos centraremos en el uso de claves simétricas y asimétricas bajo SSL/TLS (implementadas por la librería libre de openssl). Con ellas nos adentraremos en el mundo de las VPNS.

Figura 18 Encriptación de VPN Fuente: http://cisco.netacad.net

Objetivos de la criptografía Confidencialidad: Los datos que viajan en un formato ilegible, de modo que no puedan ser interpretados por ningún agente externo. Autenticación: Podemos comprobar que la persona con la estamos comunicándonos es quien dice ser. Un objetivo relacionado es el de “no repudio” en el que un emisor no puede negar haber enviado un mensaje. Integridad de mensaje: El mensaje no ha sido alterado durante la comunicación. Tabla 2 Objetivos de la Criptografía

5.5.1. SISTEMA DE CRIPTOGRAFÍA MESSAGE DIGEST

El objetivo de estos algoritmos es obtener un código a partir de la información enviada en el mensaje. Este código debe ser único, de modo que cualquier alteración en le mensaje provoque un hash nuevo.

Figura 19 Criptografía message digest Fuente: http://cisco.netacad.net

Existen otras técnicas para comprobar la integridad de los datos, como son códigos CRC, checksum etc. La diferencia entre estos y los mesaage digest criptográficos es que los primeros están más orientados a errores en la transmisión de la información, mientras que los segundos está orientados a evitar la manipulación deliberada del mensaje. Los algoritmos más conocidos son SHA y MD5. En la siguiente tabla veremos un resumen de los soportados por la librería openssl.

Algoritmos Message disgest: MD2 (128 bits) MD5 (128 bits) SHA (160 bits) SHA1 (160bits) MDC2 (128 bits) RIPEMD160 (160 bits) Ejemplos de código MD5 y SHA1 para el archivo prueba.tar.gz: MD5(prueba.tar.gz)= 81eda7985e99d28acd6d286aa0e13e07 SHA1(prueba.tar.gz)=e4eabc78894e2c204d788521812497e021f45c08 En muchas ocasiones a este código le llaman “huella digital” del archivo (fingerprint). El objetivo de usar esta técnica es mantener la integridad del mensaje.

5.5.2. SISTEMAS CRIPTOGRÁFICOS SIMÉTRICOS (SKC). CLAVES PRIVADAS Este tipo de criptografía está orientada a cumplir el objetivo de confidencialidad. El emisor y el receptor poseen una clave (key) con la que pueden cifrar y descifrar los mensajes. Normalmente se basan en algoritmos matemáticos que partiendo de la clave anterior y el archivo a enviar obtienen un nuevo archivo cuya información es ilegible. Para revertir este proceso basta con volver a aplicar el algoritmo.

Figura 20 Sistemas criptográficos simétricos (SKC). Claves privadas. Fuente: http://cisco.netacad.net El inconveniente de este método es que ambos interlocutores deben poseer la misma clave. ¿Cómo conseguimos enviar la clave a ambos? En una red área local pequeña, uno de los dos interlocutores puede hacer llegar la clave al otro, pero en una red mundial, resulta difícil hacer llegar al emisor y al receptor la clave sin comprometer la seguridad. (si la clave es interceptada, cualquier persona podría usarla para descifrar o cifrar los mensajes. Los algoritmos más usados para cifrar son:

AES:Advanced Encryption Standard. Tiene variantes: aes-128-cbc, aes-128-ecb, aes-192-ecb...etc

DES: Data Encription Standard Tiene variantes: 3DES, DES-ecb, des-ofb...etc.

RC2: Rivest Cipher 2, Tiene variantes RC4, rc2-cbc ..etc BF: Blowfish, Tiene variantes: bf-ecb, bf-ofb

5.5.3. SISTEMAS CRIPTOGRÁFICOS ASIMÉTRICOS (PKC). CLAVES PÚBLICAS Los sistemas criptográficos asimétricos o de clave pública intentan resolver el problema de los métodos anteriores que consistía en la distribución de la clave. Con este nuevo enfoque existen dos claves: una privada y una pública. Lo cifrado con la clave pública solo se podrá descifrar con la privada y viceversa (existen algoritmos como rsa que su clave privada puede cifrar y descifrar, por su puesto no así con la publica).De este modo podremos enviar la clave pública a todos mis amigos, que la pueden utilizar para enviarme mensaje cifrados a mi. Una vez cifrados ni ellos mismos podrán descifrarlos, solo el poseedor de la clave privada será capaz de hacerlo. De este modo el problema de difusión de las claves esta resuelto.

Figura 21 Sistemas criptográficos asimétricos (PKC). Claves públicas. Fuente: http://cisco.netacad.net El algoritmo más popular dentro de los asimétricos es el RSA que debe su nombre a las iníciales de los apellidos de sus autores: Ron Rivest, Adi Shamir y Len Adleman. Asisten otros como DSA (Digital signature algoritm) que aunque trabaja con clave pública y privada está más orientado a la firma digital. Difiiehellman es otro algoritmo de clave pública y privada muy orientado al intercambio de claves simétricas (se usa claves PKC para intercambiar SKC). Los algoritmos de clave asimétrica tiene claves de gran longitud que oscilan entre 512 a 2048 bits. El problema de dichos algoritmos es que necesitan un gran tiempo de cómputo para encriptar y desencriptar por lo que no son usados para trabajar con grandes ficheros.

Debido a su gran longitud las claves se almacenan en archivos binarios (formato der) o formato texto (formato per) siendo este ultimo el más usado. (Existen otros formatos llamados pkcs Public-Key Cryptography Standards)

5.5.4. FIRMAS DIGITALES

Las claves públicas vistas anteriormente resuelven el problema de la confidencialidad, es decir los datos viajan cifrados y por lo tanto no son visibles a terceras personas. El problema radica en que dado que la clave pública la pueden tener más de una persona, como sabemos a ciencia cierta que el que nos envía la información es quien dice ser. Para ello se usa un sistema llamado firma digital.

Figura 22 Firmas digitales Fuente: http://cisco.netacad.net

CAPITULO III

6. MARCO PRÁCTICO

6.1. SITUACIÓN ACTUAL DE LA RED DE DIACONIA FRIF

Para este proyecto se toma como ejemplo: La institución DIACONIA FRIF la cual es una entidad financiera que tiene agencias en el Área Urbana como Rural del departamento de La Paz, además tiene algunas agencias en el Interior del País como ser Oruro, Potosí, Tarija y otras más. Cuenta con un personal de aproximadamente 200 personas distribuidas en las agencias y en cada agencia existe un promedio de 8 personas las cuales se dedican a distintas área como ser: asesores de créditos, auxiliar administrativo y jefe de agencia.

Todas estas personas mencionas manejan información de clientes, prestamos, documentos personales, documentos de bienes e inmuebles. Toda esta información está centralizada en el departamento de sistemas de la entidad donde se encuentran varios servidores como ser:

 Servidor Búfalo (sistema para créditos)

 Servidor SQL (la base de datos).

 Servidor DNS SYMACTEC.

 Servidor de Backup.

 Servidor de Pandion (chat interno).

 Firewall para DMZ que protege a todos los servidores de la red Externa.

La red de datos con la que cuenta actualmente DIACONIA FRIF es una red Categoria 5e, la cual por sus características se estableció en una topología de estrella extendida tanto en la oficina central como en las agencias. En tal sentido, la tecnología VPN surge como un medio para utilizar el canal público de Internet para la interconexión de sitios remotos en forma segura con la oficina central.

A través del establecimiento de túneles se podrá evitar que ataques externos puedan comprometer la información de la institución. Por tanto el diseño de un “servidor de túneles para el establecimiento de redes privadas virtuales punto a punto mediante zeroshell para la empresa Diaconia FRIF”, brinda autenticación de usuarios y encriptación de los datos.

Para tal requerimiento se configurara el Zeroshell como servidor de VPN’s y además en el extremo del cliente se utiliza otra aplicación libre como es “OpenVPN” la cual brinda la conexión remota hacia el servidor y por tanto crea el túnel que conecta el sitio remoto (Agencia) con la Oficina Central a través de Internet.

6.2. IMPLEMENTACIÓN DE UN SERVIDOR PARA VPN’S

Para brindar este servicio a la red de la entidad DIACONIA FRIF se requiere establecer políticas de seguridad para un uso más óptimo y eficiente de su red. Para esa tarea se tendrá que realizar varios pasos en el servidor Zeroshell como ser creación de usuarios, creación de contraseñas y certificados para su autenticación y encriptación de los paquetes. Este tipo de diseño es de gran ayuda si se trata de conectar redes o clientes remotamente.

Grafico 1 Infraestructura de una red con Servicio de VPN’s

6.2.1. DESCRIPCÓN DE ZEROSHELL

Zeroshell es un servidor gratuito y de código abierto basado en Debian. Sus principales características son:  QoS (Calidad de servicio).  Host to Lan VPN. VPN cliente  Lan to Lan VPN. VPN entre servidores  Autenticación Kerberos 5  Entidad certificadora X509

Zeroshell, desde su primera version es capaz de actuar como puerta de enlace VPN en las conexiones de Host to Lan. Y además utiliza un protocolo que se llama OpenVPN que es un software basado en la filosofía de software libre, que permite crear conexiones VPN entre equipos Linux, Windows, MacOSX y Dispositivos móviles como Windows Mobile a traves de redes inseguras como internet o redes inalámbricas.

6.3. INSTALACIÓN DE ZEROSHELL

Una vez iniciado el sistema con el CD dentro, accedemos a la pantalla de inicio de sesión. Por defecto Zeroshell se instala con la dirección ip 192.168.0.75. La pantalla inicial de configuración que veremos después de la instalación es:

Grafico 2

Pantalla inicial de Zeroshell de configuración

Lo primero que debemos hacer es cambiar la contraseña de acceso. EL nombre de usuario es admin y por defecto no tiene clave. Pulsamos sobre la letra P para introducir la contraseña. Una vez cambiada la contraseña accedemos a la pantalla de configuración via web, ya que es más amigable que la administración por línea de comandos. Debemos de tener en cuenta que para administrar Zeroshell via web, debemos de tener en nuestro equipo una dirección IP del mismo rango.

Grafico 3 Entorno web de Zeroshell

6.4. CONFIGURACIÓN DE INTERFAZ DE RED

En el siguiente esquema, mostramos una configuración de red típica, que vamos a realizar a través de un sistema con Zeroshell

Grafico 4 Configuración de una Red para el acceso mediante VPN

En una red típica, tenemos una salida a internet, probablemente unida a un router xDSL o de Cable, por lo que tendremos que configurar la correspondiente tarjeta de red del equipo que tiene instalado Zeroshell para que se conecte al router de salida. Para ello accedemos al menú “NETWORK” y seleccionamos el interface ETH1. Una vez seleccionado el interface, pulsamos sobre el botón “ADD IP” para añadirle una dirección IP que esté dentro de la red del router de salida.

Grafico 5 Configuración de una interfaz Ethernet para acceso a internet

Una vez guardados los campos, volvemos a la pantalla de NETWORK donde veremos nuestros dos interfaces de red con su correspondiente dirección IP.

Figura 6 Verificación de la interfaces de nuestro servidor 34

6.4.1. CONFIGURACIÓN DE NAT

Tenemos que configurar nuestro router para que nos permita la salida a internet realizando NAT (Traducción de direcciones) entre la red interna y la externa. Para ello debemos comprobar que el Gateway es el correcto. Accedemos al menú del Gateway pulsando sobre el botón “GATEWAY”, y configuraremos la dirección IP de nuestra salida a internet. Generalmente esta dirección suele ser la de nuestro router xDSL o de cable.

Grafico 7 Configuración de NAT

A continuación configuraremos la traducción de direcciones de los interfaces de red. Como nuestra red interna está conectada al interfaz ETH00, debemos configurar nuestra red, para que haga NAT sobre el interface ETH01. Accedemos al menú de la izquierda “ROUTER” y nos aparece una pantalla. Accediendo al menú “NAT” veremos una pantalla donde nos indica los interfaces de red de nuestro equipo, debiendo seleccionar el interface ETH01.

Guardamos los cambios y a continuación comprobamos que desde nuestra red podemos acceder a alguna dirección de internet.

6.5. CERTIFICACIÓN PARA LAS CONEXIONES REMOTAS

Accedemos al menú de la izquierda “X509” y a continuación accedemos al menú “SETUP”. Dentro de este apartado introducimos los datos de nuestra autoridad certificadora (CA) para poder emitir certificados de usuario validándose contra nuestra CA.

Grafico 9 Configuración de La Autoridad Certificadora Para Las Conexiones Remotas

6.5.1. CREACIÓN DE USUARIOS

Vamos a crear un usuario para conectarnos vía VPN. Accedemos al menú “USERS” y a continuación al menú “ADD” para introducir los datos del usuario que vamos a crear.

Grafico 10 Creación De Usuarios

Después de realizar todo este proceso se podría ya conectarse mediante una VPN un cliente remoto.

6.5.2. ACCESO REMOTO VPN CLIENTE L2TP/IPSEC

Una vez hemos creado nuestro usuario, vamos a exportar el certificado de la CA y el certificado de usuario, ya que tenemos que instalarlos en Windows para poder realizar una VPN con este sistema operativo sin la necesidad de instalar software adicional. Debemos exportar el certificado en formato PEM (autoridad certificadora) y en formato PFX (certificado de usuario), guardándolos en nuestro equipo.

Una vez guardados en nuestro equipo, procedemos a la configuración de Windows. Debemos guardar los certificados en el almacén de certificados del equipo. Cargamos el complemento de certificados de Windows, ejecutando Inicio - Ejecutar – mmc

Mediante esta aplicación vamos a cargar el complemento de certificados.

 Archivo - agregar o quitar complemento.

 Raíz consola - Agregar.

 Seleccionar la carpeta Certificados – Agregar.

 Complemento de certificados – siguiente.

Pulsamos sobre el botón aceptar de las diferentes pantallas que tenemos abiertas hasta que nos quedemos en la siguiente pantalla.

Grafico 11 Validación de Certificados para el cliente A continuación importaremos los certificados en el almacén “personal”. En el caso de que no funcione la VPN, debemos comprobar que estos certificados también existen en la carpeta “Entidades emisoras raíz de confianza”. Si no existiesen, debemos importarlos también en esta carpeta. Para importar, nos posicionamos sobre las carpetas indicadas y con el botón derecho realizamos la importación.

Grafico 12Certificado para el equipo local Ahora se tiene que acceder mediante una conexión vpn típica de Windows.

6.5.3. ACCESO REMOTO VPN CLIENTE OPENVPN

Por defecto, en toda instalación de Zeroshell, existe un interfaz denominado VPN99. Esta interfaz se puede ver en el menú “NETWORK”. Este interfaz está deshabilitada por defecto. Para activarla, debemos de configurar nuestro sistema para que acepte estas conexiones. Para activar las conexiones remotas accedemos al menú “VPN” y activamos esta funcionalidad.

Grafico 13 Acceso remoto VPN con cliente OpenVPN En función del tipo de autentificación que hayamos seleccionado, debemos configurar el cliente OpenVPN de una forma u otra.

Grafico 14 Acceso remoto VPN cliente OPENVPN

A continuación editamos el fichero Zeroshell.ovpn, y lo configuramos siguiendo los requerimientos que son necesarios para la creación de nuestro túnel. Debemos configurar la dirección remota de la maquina Zeroshell, el tipo de autentificación que vamos a utilizar, y en el caso de que sea exclusivamente con certificado, indicarle donde está nuestro certificado. Modificar el fichero de conexión con los datos correspondientes:

Grafico 15 Fichero para la conexión de acceso remoto mediante OpenVPN.

6.5.4. CONFIGURACIÓN VPN PUNTO A PUNTO (LAN TO LAN)

Otra de las características importantes de Zeroshell, es que nos permite unir dos sistemas remotos permanentemente. El caso más implementado es la de unir dos oficinas remotas, para que todas sus datos vayan encriptados a través de un túnel  Menu VPN - Lan to Lan - New Vpn.

En “Remote Host” introducimos la dirección IP del equipo remoto al que queremos conectar. El puerto será el 1194 con protocolo TCP. Uno de los equipos actuará como “Server” y otro como “Client”.

Configuramos la VPN con autentificación “Pre-Shared-Key”. Generamos una clave con el botón “GenKey” y copiamos la clave en los dos equipos. Guardamos la configuración, y deberemos de ver que la conexión está activa. A continuación debemos añadir una dirección IP al interfaz VPN00. Esta dirección IP es una dirección cualquiera, teniendo que ser de los rangos específicos para las redes internas, pero que no se utilice en ningún interfaz de nuestro Zeroshell. Se utilizará para enrutar el tráfico entre las dos VPN.

El paso más crítico es el de configurar la ruta estática para enrutar el tráfico por el túnel. Accedemos al menú “ROUTER”, y a continuación pulsamos sobre el botón “Add” para añadir una nueva ruta. En “Destination” introducimos la red remota, en “Netmask” la máscara de red. En “Gateway”, debemos introducir la dirección ip utilizada en el interfaz vpn00 de la red remota, y la métrica es 0. Una vez guardados los cambios, debemos de ver en la pantalla la ruta creada. Después realizamos las pruebas correspondientes para ver la conectividad remota.

GRAFICO 16 Configuración para enrutar el tráfico por el túnel.

6.6. DESARROLLO DE LA CONFIGURACIÓN DE LA RED VPN En el siguiente esquema, mostramos la configuración de red VPN que se utiliza para este proyecto, como se puede observar en la figura: Se tiene el servidor Zeroshell con dos interfaces Ethernet, la primera es ETH0 que se conecta a la red interna de DIACONIA-FRIF Oficina Central departamento de Sistemas y es la dirección 10.80.70.0/24 y la ETH1 es la que está conectada hacia el proveedor de servicio en este caso AXS que le asigna una dirección pública 200.105.199.83 para su conexión hacia Internet. En el otro extremo se tiene al cliente VPN, que en esta caso está configurado con el software OpenVPN, el cual actúa como un router ya que cuenta con un puerto Ethernet el cual es la puerta de enlace para la red interna 192.168.0.0/24 que viene hacer una LAN AGENCIA. También tenemos un puerto USB por el cual se tiene acceso a Internet mediante un modem Tigo el cual nos da una dirección pública 172.32.1.1. Para nuestra conexión de Túnel se estableció con el nombre tun0 y se configuro con las direcciones 10.25.0.1 en el lado del servidor Zeroshell y la 10.25.0.2 en el lado del cliente OpenVPN. En la configuración del túnel se utilizo el puerto PORT = 1338, el cual se cambio por políticas de seguridad ya que el puerto que se utiliza por defecto es el PORT = 1194. En la parte del cliente se direcciono a la red privada de servidores la 10.80.70.0/24 mediante un archivo ruta.bat, el cual tiene este comando route add 10.80.70.0 mask 255.255.255.0 10.25.0.1. En la prueba se realiza el ingreso a la página interna de DIACONIA FRIF que esta en la dirección http://10.80.70.10:8080. También se prueba conectividad mediante en comando ping el cual manda paquetes de prueba a los servidores que en este caso son:  Servidor WEB con una dirección 10.80.70.10.  Servidor BUALO con una dirección 10.80.70.7.  Servidor BACKUP con una dirección 10.80.70.9.

 Servidor PANDION con una dirección 10.80.70.31.  Firewall CISCO ASA 5510 que tiene la dirección 10.80.70.1.  Extremo del túnel que tiene la dirección 10.25.0.1.

Grafico 17 Red VPN para DIACONIA FRIF

6.6.1. DISEÑO DE LA RED LÓGICA DE DIACONIA FRIF

La entidad financiera DIACONIA FRIF tiene varias sucursales en las provincias del departamento de la ciudad de La Paz como en el interior del país y lo que se pretende con este proyecto es realizar varias conexiones VPN con dichas agencias. En la figura se puede observar detalladamente la red lógica de la entidad, con sus distintos componentes y bloques de direcciones para una buena administración y control de dicha red.

Por tanto se puede ver que también las redes que componen las ciudades de EL ALTO y LA PAZ están interconectadas por medio de un enlace de fibra óptica. El proveedor de dicho enlace es DATALAN. Y el sistema de CCTV (Circuito Cerrado de Televisión), es proporcionada por la empresa FULL SEGURIDAD, la cual instalo cámaras, sensores y alarmas en toda la institución DIACONIA FRIF para brindar una mayor seguridad ante cualquier tipo de atraco.

GRAFICO 18 Diseño Final de la Red Lógica de DIACONIA FRIF

6.7. CONEXIÓN A INTERNET MEDIANTE MODEM USB

Se consulto las páginas web de las empresas de nuestro medio que brindan el servicio de Internet a través de un modem USB. En el país las son tres empresas que nos brindan este servicio de Internet como ser: Entel, Tigo y Viva.

6.7.1. INTERNET MOVIL DE ENTEL

La oferta comercial vigente para el servicio de Entel Internet Movil en las ciudades de La Paz, Cochabamba, Santa Cruz, Sucre, Tarija, Oruro, Potosí, Trinidad, Yacuiba, Llallagua, Patacamaya, Villamontes, Rurrenabaque, Tupiza, San Borja y Camargo, se muestra a continuación:

Grafica 19 Costos de Internet 4G Post-Pago de ENTEL

6.7.2. INTERNET MOVIL DE TIGO Internet Móvil Tigo es un servicio de acceso a Internet que te permite navegar a altas velocidades, en cualquier momento y en cualquier lugar. Puedes conectarte de manera sencilla e inmediata, con la tecnología de última generación. Para conectarte a Internet Móvil Tigo necesitas contar con el Módem USB el cual se conecta mediante el puerto USB de cualquier computadora, portátil o de escritorio y se instala automáticamente, sin necesidad de CD. En el trabajo, en tu casa, de vacaciones o simplemente en tu escapada de fin de semana, Tigo se mueve contigo para que estar conectado a través de Internet con total movilidad alcanzando velocidades que podrían llegar a los 2 Mbps. 45

Grafica 20 Costos de Internet Post-Pago de TIGO

6.7.3. INTERNET MOVIL DE VIVA Según la pagina web oficial de VIVA nos brinda estos paquetes para acceso de Internet median un modem USB son:

Grafica 21 Costos de Internet Post-Pago de VIVA

6.7.4. ELECCIÓN DEL SERVICIO DE INTERNET MEDIANTE La elección básicamente radica en dos factores principales que son el costo y cobertura que tenga el proveedor para brindar un servicio de calidad a las agencias de la institución que se ubican en distintos localidades.

CAPITULO IV

7 CONCLUSIONES

Las fallas de seguridad son reales y muy peligrosas. Ahora se tiene que tener un gran cuidado en la otorgación de usuarios y passwords ya la empresa esta en constante crecimiento y es por eso que hay que tener cuidado con nombres de usuarios para que estos no se repitan y generemos passwords incorrectos.

Se puedo evidencias que es posible cambiar el puerto en el que trabaja las VPN’s, por defecto es el 1194 pero eso ya lo saben los atacantes y es por eso que en anexos se realizo una tabla detallada de los puertos de cada agencia.

Se tiene que renovar las licencia por lo menos cada trimestre ya que es una buena política de seguridad ir cambiando licencias gradualmente ya que si no lo haces podría ocurrir que tanto servidor como cliente puedan fallar en la autenticación.

Un VPN basado en software es una alternativa de solución de bajo costo con facilidad de administración y configuración para una red mediana o pequeña.

El presente proyecto se realizo la instalación de un servidor de túneles VPN con Zeroshell en una topología de VPN Punto a Punto, para la interconexión de dos redes privadas y que se viera como si estuvieran unidas físicamente.El software

Al configurar un cliente VPN mediante el software libre de OpenVPN, se pudo utilizar a parte de cliente, como un Router para la red interna 192.168.0.0/24. Para tal objetivo se recomienda que se tenga mucho cuidad al compartir la interface de túnel con la red interna ya que si no se toma las medas de seguridad podría ocurrir un ataque interno a la red.

El firewall CISCO ASA 5510 permite accesos mediante listas de acceso, el cual por medidas de seguridad de la empresa solo permitió probar conectividad mediante el comando ping a los servidores de la zona desmilitarizada.

8 BIBLIOGRAFIA Y PAGINAS WEB:

 Forouzan, Behrouz A. (2002). “Transmisión de datos y redes de comunicación”. (Segunda Edición). Madrid:McGraw-Hill.

 TANENBAUM, Andrew S. (2003). “Redes de Computadoras”. (Cuarta Edición). Madrid: McGraw-Hill.

 CISCO CCNA EXPLORATION 1 “Aspectos básicos de Networking” Fuente: http://cisco.netacad.net

 CISCO CCNA EXPLORATION 4 “Acceso a la WAN” Fuente: http://cisco.netacad.net

 OPEN VPN “Configuración de OpenVPN como cliente” Fuente: http://www.openvpn.net

 PAGÍNA OFICIAL DE ZEROSHELL, Fuente: http://www.zeroshell.org.

 CISCO “Protocolo IPSec”, Fuente: http://www.cisco.net/es

 INTERNET 4G “Tarifa Post-Pago ENTEL”, Fuente: http://www.entel.bo

 INTERNET “Tarifa Post-Pago TIGO”, Fuente: http://www.tigo.bo

 INTERNET “Tarifa Post-Pago VIVO”, Fuente: http://www.viva.bo

ANEXOS

PLANOS DE LAS AGENCIAS DE DIACONIA:

DIRECCIONES IP PARA LAS AGENCIAS DE DIACONIA FRIF

ID SUCURSALES REDES INTERNAS REDES EXTERNAS MASCARAS

DIRECCIONES LAN DIRECCION port WAN MASK DNS DE VPN

1 ORURO 192.168.11.0 10.1.0.2 1194 190.129.9.98 255.255.255.240 200.87.100.10

2 BATALLAS 192.168.12.0 10.2.0.2 1340 190.181.28.1 255.255.252.0 216.226.74.121

4 CAQUIAVIRI 192.168.13.0 10.5.0.2 1202 216.216.76.138 255.255.255.248 216.226.76.137

5 COCHABAMBA 192.168.14.0 10.4.0.2 1198 192.168.1.3 255.255.255.0 200.105.128.40

6 CARANAVI 192.168.15.0 10.6.0.2 1360 10.0.0.3 255.255.255.0 216.226.78.113

200.85.128.10 7 P. BLANCOS 192.168.16.0 10.7.0.2 1206 10.254.58.10 255.255.255.0

8 YUCUMO 192.168.17.0 10.8.0.2 1400 10.0.0.5 255.255.255.0 216.226.74.201

9 SAN BORJA 192.168.18.0 10.9.0.2 1208 216.226.77.162 255.255.255.248 216.226.77.161

10 GUAQUI 192.168.19.0 10.3.0.2 1310 216.226.77.10 255.255.255.248 216.226.77.9

11 CHULUMANI 192.168.22.0 10.11.0.2 1240 10.0.0.6 255.255.255.0 204.14.45.177

12 SAN BUENA. 192.168.29.0 10.18.0.2 1320 204.14.47.22 255.255.255.248 204.14.47.17

13 TIAHUANACU 192.168.24.0 10.10.0.2 1300 216.226.68.162 255.255.255.248 216.226.68.161

14 SUCRE 192.168.25.0 10.14.0.2 1290 172.19.163.110 255.255.255.252 200.73.96.162

15 SORATA 192.168.26.0 10.13.0.2 1260 10.0.0.10 255.255.255.0 216.226.78.17

16 JESUS DE 192.168.27.0 10.16.0.2 1270 10.248.129.11 255.255.255.0 200.85.128.52 MACHACA

SEGMENTOS Y DIRECIONES IP DE LAS AGENCIAS URBANAS

Agencia Segmento Cajas Jefe AUX ADM Asesores Portátiles Impresoras

0 Of central 192.198.1.0/24

1 Juan Pablo 192.168.101.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

2 Franco valle 192.168.102.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

3 Villa Bolívar 192.168.102.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

4 Rio Seco 192.168.104.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

5 Senkata 192.168.105.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

6 Ballivian 192.168.106.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

7 Huayna Potosí 192.168.107.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

8 Cascada 192.168.108.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

9 San Martin 192.168.109.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

10 Santa Rosa 192.168.110.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

11 Estrellas de Belén 192.168.111.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

12 San Roque 192.168.112.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

13 Viacha 192.168.113.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

14 Tumusla 192.168.114.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

15 Sistema CCTV 192.168.115.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

16 Cosmos 79 192.168.116.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

17 Ventilla 192.168.117.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31

18 Cementerio 192.168.118.0/27 2 al 4 5 6 al 10 11 al 15 16 al 19 20 al 26 27 al 31